Bundesamt für Sicherheit in der Informationstechnik

M 2.254 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Für jedes Outsourcing-Vorhaben muss ein Sicherheitskonzept existieren. Dieses kann unter anderem auf Grundlage der IT-Grundschutz-Kataloge erstellt sein. Outsourcing-Projekte sind dadurch gekennzeichnet, dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. Das Sicherheitskonzept, das nach Beauftragung eines Dienstleisters erarbeitet wird, wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden. Die Migrationsphase ist daher von entscheidender Bedeutung für den Erfolg des Gesamtprojektes und wird in Maßnahme M 2.255 Sichere Migration bei Outsourcing-Vorhaben ausführlich beschrieben.

Generell unterscheiden sich Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von Sicherheitskonzepten für selbstbetriebene IT-Systeme. Es ergeben sich jedoch folgende Besonderheiten, die berücksichtigt werden müssen:

  • Am Outsourcing-Vorhaben sind aus technischer Sicht in der Regel drei Parteien beteiligt:
    • Outsourcing-Auftraggeber
    • Outsourcing-Dienstleister
    • Netzprovider
    Der Netzprovider stellt die Anbindung zwischen den Outsourcing-Parteien bereit. Die Zuständigkeit für die Netzanbindung fällt dabei in der Regel dem Outsourcing-Dienstleister zu.
  • Jeder Beteiligte muss ein eigenes Sicherheitskonzept erstellen und umsetzen, welches auch das spezielle Outsourcing-Vorhaben umfasst. Damit sind Sicherheitskonzepte erforderlich:
    • für den Einflussbereich des Outsourcing-Dienstleisters,
    • für den Einflussbereich des Auftraggebers sowie
    • für die Schnittstellen und die Kommunikation zwischen diesen Bereichen.
  • Zusätzlich zu den Einzelkonzepten ist ein Sicherheitskonzept für das Gesamtsystem zu erstellen, welches die Sicherheit im Zusammenspiel der Einzelsysteme betrachtet.
  • Die verschiedenen Teil-Konzepte müssen zwischen Auftraggeber und Dienstleistern abgestimmt werden. Dabei ist der Auftraggeber am Sicherheitskonzept des Outsourcing-Dienstleisters nicht direkt beteiligt, sollte aber in einem Audit prüfen, ob es vorhanden und ausreichend ist. Für das Audit kann der Auftraggeber dabei auch auf externe Dritte zurückgreifen.

Die in M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben und M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das Sicherheitskonzept. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im Sicherheitskonzept die detaillierte Ausgestaltung erfolgen, wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden.

Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase, in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden, die in M 2.255 Sichere Migration bei Outsourcing-Vorhaben genauer behandelt werden.

Im Folgenden sind einige Aspekte und Themen aufgelistet, die im Sicherheitskonzept im Detail beschrieben werden sollten. Da die Details eines Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen, ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Neben einem Überblick über die Gefährdungslage, die der Motivation der Sicherheitsmaßnahmen dient, und den organisatorischen, infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein:

Organisation

  • Umgang mit Daten und schützenswerten Betriebsmitteln wie Druckerpapier und Speichermedien, insbesondere Regelungen zum Anfertigen von Kopien und Löschen/Vernichten
  • Festlegung von Aktionen, für die das "Vier-Augen-Prinzip" anzuwenden ist

Hard-/Software

  • Einsatz gehärteter Betriebssysteme, um Angriffe möglichst zu erschweren
  • Einsatz von Intrusion-Detection-Systemen (IDS), um Angriffe frühzeitig zu erkennen
  • Einsatz von Datei-Integrität-Prüfungssystemen, um Veränderungen z. B. nach erfolgreichen Angriffen, zu erkennen
  • Einsatz von Syslog- und Timeservern, um eine möglichst umfassende Protokollierung zu ermöglichen
  • Einsatz kaskadierter Firewallsysteme zur Erhöhung des Perimeterschutzes auf Seiten des Dienstleisters
  • sorgfältige Vergabe von Benutzer-Kennungen, Verbot von Gruppen-IDs für Personal des Dienstleisters

Kommunikation

Kontrollen und QS

  • Detailregelungen (z. B. unangekündigte Kontrollen vor Ort, Zeitintervalle, Zuständigkeiten, Detailgrad) für Kontrollen und Messung von Sicherheit, Dienstqualität, Abläufen und organisatorische Regelungen

Notfallvorsorge

Prüffragen:

  • Existiert für jedes Outsourcing-Vorhaben ein Informations-Sicherheitskonzept basierend auf den zugehörigen Sicherheitsanforderungen?

  • Besitzt jeder Beteiligte am Outsourcing-Vorhaben ein Sicherheitskonzept für seinen Einflussbereich und gibt es zusätzlich ein abgestimmtes Sicherheitskonzept für das Gesamtsystem?

  • Wird das Sicherheitskonzept des Dienstleisters und seine Umsetzung durch den Auftraggeber oder unabhängige Dritte überprüft?

Stand: 13. EL Stand 2013